事在人为

Gartner的研究报告指出，虚拟机的安全性低并不是因为虚拟化技术本身不安全，而是因为缺乏相关的管理工具，应用流程不成熟，企业员工和经销商缺乏有效的培训等。

VMware公司大中华区技术总监张振伦指出，实际上，多数的安全风险来自于实际使用的过程中，而并非虚拟化技术本身的问题。经过专门的审计和管理控制，完全可以避免虚拟机的安全风险。AstroArch咨询公司创始人Haletky认为：“与虚拟化相关的最大安全问题是，很多用户不知道自己在做什么。为了有效解决虚拟机的安全性问题，虚拟化应用管理员必须学习更多的知识。”

张振伦归纳出虚拟机面临的主要安全风险：第一，虚拟化层的妥协可能导致所有托管工作负载的标准降低；第二，内部虚拟网络上的虚拟机之间的通信缺乏可见性和控制力，使得当前的安全策略增强机制丧失效力；第三，在没有被充分隔离的情况下，不同信任级别的工作负载被整合到一个单独的物理服务器上；第四，Hypervisor/VMM层和可管理工具的访问管理缺乏可控性；第五，网络和安全控制职责的隔离存在不足。

其实，技术的问题只是一方面，为了保护虚拟机的安全，更重要的是在人和应用方面下功夫。Gartner研究发现，40%的虚拟化应用在最初的规划和设计阶段，根本没有考虑安全因素。Gartner建议，安全管理流程应扩展到虚拟化管理程序和虚拟机监视器等方面。

许多系统管理员缺乏有效保护虚拟化环境的专业知识。虚拟化技术的出现模糊了IT人员的角色与职责。例如，在虚拟机泛滥而管理员又不知情的情况下，后端存储的性能很容易出现瓶颈。

“虚拟化正在改变传统的服务器配置流程。用户需要建立一个全新的框架，避免出现虚拟机泛滥等问题，进而解决隐藏的安全问题。许多早期部署的虚拟基础设施，并没有采用最佳的基础设施架构部署策略。”陈进坤表示，“用户应该避免为虚拟化而虚拟化的思维定式，将注意力放在人员、流程和技术的无缝整合上，进而创造一个高效、高安全性的企业基础架构平台。”

“无论是物理环境还是虚拟环境，出现安全问题的原因都一样，即技术和管理方面的问题。”张权认为，虚拟化应用成功的关键是三分技术、七分管理，“仅仅依靠技术手段，只能治标不能治本，只有结合安全的运维管理，才可以做到标本兼治。”

张权归纳出虚拟机在管理方面存在的主要问题：第一，安全组织设置和岗位职责不明确；第二，安全风险管控不到位；第三，日常安全运行与维护缺乏有效性；第四，应用系统安全管理有疏漏；第五，灾备管理不专业；第六，企业缺乏内部与针对第三方人员的安全管理规范；第七，企业没有进行必要的安全教育培训。

惠普认为，安全问题在每个环节都有可能发生，关键在于如何创建有效的流程，通过高效的软件工具监控虚拟机的运营，从而避免问题出现。

随着业务的不断增长，企业用户如果不对虚拟环境进行合理控制和管理，很容易出现虚拟机泛滥的情况。虚拟机的泛滥不仅增加了管理的负担，而且造成了现有资源的浪费。惠普融合基础设计架构不仅能通过统一、高效的管理，合理分配现有资源，回收数据中心空闲容量，而且能帮助用户将孤岛式的IT架构转变成池化的，从而实现资源的共享，在提高资源利用率的同时大幅提高IT部门的生产力，使IT部门成为驱动业务发展的核心动力。